简单理解springsecurity实现过程

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量569 收藏
点赞数 1
文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45592424/article/details/126370866
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。

提示:以下是本篇文章正文内容,下面案例可供参考

一、目的

解决单点登录,我登陆之后你要保证我访问其他路径的时候不会被你拦截。
同时前后端分离,session不再适用。

二、基本理解

security这一个单词其实就代表了springsecurity是为了安全而产生的。
而在原本的spring中和安全有关的是他的拦截器、是fiter。
故:springsecurity的本质实现也是一个过滤链,由不同的过滤器组成,而具体有几个,版本不同,数量也不同。不过主要有三个重要的:

  • UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求
  • ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException
  • FilterSecurityInterceptor:负责权限校验的过滤器
    而在各种过滤器之间向后传递信息的载体是SecurityContextHolder,格式是Authentication。

UsernamePasswordAuthenticationFilter

登录:自定义登录接口,并且放行。我们自己拿着账号密码求数据库验证,验证通过,会生成jwt,存入redis,
校验:自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的userid。​ 使用userid去redis中获取对应的LoginUser对象
这个过滤器一般会放在userpassword那个过滤器前面。

ExceptionTranslationFilter

​ 如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法去进行异常处理。

​ 如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理。

​ 所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。

FilterSecurityInterceptor

校验其实就是我认可了你是个好人,但是不同个人的权限不一样,我要识别你这个人有没有资格去访问这个功能。

做法是:我在验证完你是否是好人之后,相当于已经把你的信息拿到了我把你的权限查出来(因为数据库肯定有相关信息的),和基本信息一起放到ContextHolder里面传到FilterSecurityInterceptor。

三、跨域

SpringBoot配置

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
      // 设置允许跨域的路径
        registry.addMapping("/**")
                // 设置允许跨域请求的域名
                .allowedOriginPatterns("*")
                // 是否允许cookie
                .allowCredentials(true)
                // 设置允许的请求方式
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                // 设置允许的header属性
                .allowedHeaders("*")
                // 跨域允许时间
                .maxAge(3600);
    }
}

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问
                .antMatchers("/user/login").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        //添加过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        //配置异常处理器
        http.exceptionHandling()
                //配置认证失败处理器
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);

        //允许跨域
        http.cors();
    }
森林有秘密
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
spring security实现
weixin_44488616的博客
11-18 1067
目录1. 创建springboot项目,引入maven依赖2. application.properties文件对数据库进行配置3.根据RDBC权限模型设计数据库表3.1 创建权限表szp_permission_test3.2 创建角色权限表szp_role_permission_test3.3 创建角色表szp_role_test3.4 创建用户角色表szp_user_role_test3.5 创建用户表szp_user_test4. 创建java实体类来映射数据库中的表4.1 创建PermissionE
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3952
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
SpringSecurity-简单实现
zl979899的博客
10-14 273
1. 配置文件 spring.security.user.name=admin spring.security.user.password=admin 2. 配置类 @Configuration public class MySecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) .
Spring Security 案例实现和执行流程剖析
weixin_43748936的博客
12-21 390
Spring Security 案例实现和执行流程剖析 应用场景:通过账号密码登录获取token。 步骤: 第一步:将账号密码的信息、请求的方法名、请求方式等信息放在map中: /** * 申请令牌 * @param username 用户输入的账号 * @param password 用户输入的密码 * @param clientId 配置文件中的值RainWeb 用于和数据库的auth_表中的值比对 比对的过程由框架自动完成 * @par
SpringSecurity3.X--一个简单实现
aaaaaaaa0705的专栏
08-27 2387
作者对springsecurity研究不深,算是个初学者吧,最近很不完整的看了一下翻译的很是生硬的《Spring3Security-3.0.1中文官方文档.pdf》,为了便于学习和记忆,所以将所学知识在此记录下来。 这里给出一个简单的安全验证的实现例子,先说一下需求:
springboot+ spring security实现登录认证
05-04
首先,我们需要理解Spring Security的基本工作流程:当一个请求到达时,Spring Security会检查该请求是否经过了认证。如果没有,它会引导用户进行登录。一旦用户成功登录,Security会根据授权规则判断用户是否有权限...
Spring Security UserDetails实现原理详解
09-07
Spring Boot中,集成Spring Security非常简单。只需在项目中引入`spring-boot-starter-security`依赖,Spring Boot就会自动配置安全功能。如果需要监控Spring Security的状态,可以添加`spring-boot-starter-...
SpringSecurity实现图形验证码功能实例代码
08-26
在开始实现这一功能之前,首先理解Spring Security的核心概念是必要的。Spring Security是一个全面的框架,它提供了认证(Authentication)和授权(Authorization)两个关键功能。认证涉及识别用户身份,而授权则...
springSecurity 实现传参
11-04
在这个场景中,我们关注的是如何使用Spring Security实现登录验证以及在登录过程中传递参数,特别是记录并返回用户登录前的页面。我们将深入探讨这个过程,并结合MySQL数据库的使用。 首先,让我们了解Spring ...
IDEA+SpringBoot+SpringSecurity:整个SpringSecurity实现过程,可应用于线上产品
12-10
IDEA+SpringBoot+SpringSecurity:整个SpringSecurity实现过程,可应用于线上产品
Spring Security基于json登录实现过程详解
10-14
主要介绍了Spring Security基于json登录实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
SpringSecurity简单实现
_忆的博客
04-08 126
pom依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven
springsecurity3实现过程
weixin_33753003的博客
06-24 72
1.在类初始化的时候,InvocationSecurityMetadataSource类就会调用loadResourceDefine()的方法,取到所用的资源对应的角色关系。(这个步骤是在tomcat容器启动的时候调用的) 2.当用户访问某个资源时,提交的url就会被我们自定义的过滤器(MyFilterSecurityInterceptor)拦截,进入doFilter()...
SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理
【积累】,是一个长期持续的过程。
07-17 1477
一、Security简介 1、基础概念 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作。 2、核心API解读 1)、Securi......
Spring-Security框架的实现流程
凌晨12点,说出你的知心话
05-27 374
Spring-Security实现流程 spring-security入口 DelegatingFilterProxy(Spring-Web) ->FilterChainProxy `(Spring-Security)-> 这里看出Spring是通过DelegatingFilterProxy来整合Spring-Security的 一般这个类在我们的web.xml配置中使用的,当我们定义的filter为DelegatingFilterProxy 此时呢,所有的请求filter,都会去容器中找一
分析Spring Security实现方式
魏亚恒的博客
04-07 709
Spring Security的两个核心功能是:验证和鉴权。 1、用户登录检验用户名和密码即为验证。 2、用户访问网址时,根据URI判断相应的角色才可以访问即为鉴权。 验证过程: 1、后端从前端的表单得到用户密码,包装成一个Authentication类的对象; 2、将Authentication对象传给“验证管理器”ProviderManager进行验证; 3、ProviderManag...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值